CN101686233B - Ue与网络安全算法不匹配的处理方法、系统及装置 - Google Patents
Ue与网络安全算法不匹配的处理方法、系统及装置 Download PDFInfo
- Publication number
- CN101686233B CN101686233B CN 200810222879 CN200810222879A CN101686233B CN 101686233 B CN101686233 B CN 101686233B CN 200810222879 CN200810222879 CN 200810222879 CN 200810222879 A CN200810222879 A CN 200810222879A CN 101686233 B CN101686233 B CN 101686233B
- Authority
- CN
- China
- Prior art keywords
- algorithm
- nas
- indication
- message
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000012545 processing Methods 0.000 title claims abstract description 12
- 238000012795 verification Methods 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims abstract description 20
- 230000000977 initiatory effect Effects 0.000 claims description 12
- 238000003672 processing method Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种UE与网络安全算法不匹配的处理方法,包括以下步骤:网络侧接收用户设备UE的安全能力信息;所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,所述UE根据所述不匹配指示返回EMM去注册状态或UE重新发起安全验证。本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种UE与网络安全算法不匹配的处理方法、系统及装置。
背景技术
为了确保在更长的时间内保持较高竞争能力,3GPP(Third GenerationPartnership Project,第三代伙伴计划)启动了3G无线接口技术的LTE(LongTerm Evolution,长期演进)研究项目。
LTE系统的安全过程分为NAS(Non Access Stratum,非接入层)层安全过程和AS(Access Stratum,接入层)层安全过程,NAS信令加密和完整性保护在MME(Mobile Management Entity,移动管理实体)实现,AS层信令的加密和完整性保护以及用户平面的加密过程在eNB(演进基站)实现。在LTE系统中完整性保护是必选项,加密是可选项。
如图1所示,为现有技术中附着过程示意图。UE向MME发送附着(attach)请求,UE网络能力信息包含在附着请求的NAS消息中传递到MME,其中,UE对算法的支持能力包含在UE网络能力信息中。在LTE中UE对NAS安全算法的支持能力与AS算法的支持能力是相同的,当MME发起的S1初始上下文建立过程要求eNB建立UE上下文时会将UE的算法支持能力一起传递给eNB。鉴权完成后,MME和eNB会分别触发NAS层(即NAS消息)和AS层(即RRC消息)的安全管理过程激活加密和完整性保护。需要说明的是,图1反应的是与鉴权和加密相关的步骤,其他过程与标准协议相同,本文将不再赘述。
在LTE系统中,只有AS层的安全保护功能,没有NAS层的消息安全保护功能,AS层的安全保护功能在RNC中完成,UE能力信息包含UE所有支持的算法能力。在RRC连接建立过程中,UE将UE能力信息上报给服务RNC并保存。这一过程在附着请求或者RAU(Routing Area Update,路由区更新)请求过程之前完成。
RNC(Radio Network Controller,无线网络控制器)会比较UE与自身的完整性保护算法支持能力以及从Iu口上收到的完整性保护算法信息及优先级,并根据以下原则进行处理。一方面如果UE与RNC以及从SGSN(Serving GSN,服务GSN)传来的完整性保护算法信息中没有相同的完整性保护算法,则释放RRC(Radio Resource Control,无线资源控制)连接。另一方面如果UE与RNC以及从SGSN传来的完整性保护算法信息中至少有一个相同的完整性包含算法,则网络选择一个均支持的完整性保护算法用于这个RRC连接。
RNC也会比较UE与自身的加密算法支持能力,以及从Iu口上收到的加密算法信息以及算法优先级,并根据以下原则进行处理。一方面如果UE与RNC以及从SGSN传来的加密算法信息没有相同的加密算法,并且RNC不准备使用非加密的连接,则释放RRC连接;如果RNC允许使用非加密的连接,则建立非加密的RRC连接。另一方面如果UE与RNC以及从SGSN传来的加密算法信息至少有一个相同的加密算法,则网络选择一个相互认可的加密算法用于这个RRC连接。
同样当UE发生切换后,若新的RNC与UE支持的安全算法不匹配,则会返回切换失败消息,并在切换失败的cause IE中指示为完整性保护或加密算法不匹配。
从上述描述中可以看出,对于UE与网络安全算法不匹配的异常处理仅是释放RRC连接,协议中并没有进一步的规定。然而对于UE来说,如果为其选择新的MME或eNB,则其安全算法有可能与网络安全算法匹配,从而顺利接入网络。因此现有技术存在的缺点是协议已有方案不完整,需要进一步的优化。并且在3G系统中安全验证在RNC做,因此涉及的全部都是RRC过程,但是在LTE中,网络的安全分别由MME和eNB来完成,然而在现有协议标准中,对于UE与网络安全算法不匹配时的NAS过程的处理没有描述。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别是解决现有技术中无法处理UE与网络安全算法不匹配的情况。
为达到上述目的,本发明一方面提出一种UE与网络安全算法不匹配的处理方法,包括以下步骤:网络侧接收用户设备UE的安全能力信息;所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,所述UE根据所述不匹配指示返回EMM去注册状态或UE重新发起安全验证。
作为本发明的一个实施例,所述安全验证为附着过程的安全验证,所述网络侧接收UE的安全能力信息具体为:所述UE向移动管理实体MME发送附着请求消息,所述附着请求消息中携带有所述UE的安全能力信息。
在上述实施例中,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为MME,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
在上述实施例中,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:所述附着拒绝消息中的EMM cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;或在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
在上述实施例中,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:所述UE启动尝试计数器,重新发起附着请求,并指示演进基站eNB为所述UE重新选择其他MME进行NAS安全验证。
在上述实施例中,还包括:如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
在上述实施例中,所述尝试计数器的预定阈值为5。
作为本发明的一个实施例,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS加密算法不匹配的指示之前,还包括:所述MME判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,所述安全验证为非接入层AS安全验证,所述UE的安全能力信息包括UE支持的AS完整性保护算法和AS加密算法,所述验证实体为eNB,所述UE的安全能力信息由所述MME发送给所述eNB,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体包括:所述eNB向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示;所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
在上述实施例中,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:所述UE返回EMM去注册状态。
在上述实施例中,还包括:判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,所述安全验证为TAU过程的安全验证,所述网络侧接收UE的安全能力信息具体为:源MME将所述UE的安全能力信息发送给所述目标MME。
在上述实施例中,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为目标MME,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:所述目标MME向所述UE返回TAU拒绝消息,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
在上述实施例中,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:所述TAU拒绝消息中的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;或在所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
在上述实施例中,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:所述UE启动尝试计数器,重新发起TAU请求,并指示源MME为所述UE重新选择其他MME进行NAS安全验证。
在上述实施例中,还包括:如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
在上述实施例中,所述尝试计数器的预定阈值为5。
在上述实施例中,还包括:判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:所述UE返回EMM去注册状态。
本发明另一方面还提出一种UE,包括消息接收模块、计数器模块、发起模块和状态切换模块,所述消息接收模块,用于接收所述UE注册的MME返回的附着拒绝消息或TAU拒绝消息;所述计数器模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知所述发起模块重新发起附着请求和TAU请求,并指示为所述UE重新选择其他MME进行NAS安全验证;所述发起模块,用于发起附着请求和TAU请求;所述状态切换模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在所述计数器模块达到预定阈值后,返回EMM去注册状态。
本发明再一方面还提出一种eNB,包括上下文接收模块、AS层判断模块和上下文消息返回模块,所述上下文接收模块,用于接收MME发送的初始上下文建立消息,所述初始上下文消息中携带有所述UE的AS完整性保护算法和AS加密算法;所述AS层判断模块,用于判断所述UE的AS完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和AS加密算法是否一致;所述上下文消息返回模块,用于当所述判断模块判断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性保护算法或AS加密算法不匹配时,向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。
在上述实施例中,还包括重新选择模块,用于根据UE的指示为其重新选择新的MME。
本发明还提出一种MME,包括UE信息接收模块,NAS层判断模块和消息返回模块,所述UE信息接收模块,用于接收UE的安全能力信息,所述UE的安全能力信息由UE通过附着请求发送给所述MME,或由所述UE的源MME发送给所述MME,所述UE的安全能力信息包括所述UE的NAS完整性保护算法和NAS加密算法;所述NAS层判断模块,用于判断所述UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完整性保护算法和NAS加密算法是否一致;所述消息返回模块,用于在所述NAS层判断模块判断所述UE的NAS完整性保护算法或NAS加密算法与所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
在上述实施例中,还包括转发模块,用于将所述UE信息接收模块接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB。
本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。并且通过本发明提出的技术方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为现有技术中附着过程示意图;
图2为本发明实施例附着过程中UE与网络安全算法不匹配的处理方法的流程图;
图3为本发明一实施例UE与网络安全算法不匹配的处理系统的结构图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本发明主要在于通过向UE返回安全算法不匹配的指示,使UE能够进一步选择新的MME进行接入,从而提高了UE的接入概率。并且通过本发明提出的技术方案也完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。具体地判断UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,UE根据不匹配指示返回EMM去注册状态(EMM-DEREGISTERED(Evolved Mobility Management-deregistered,移动性管理去注册))或UE重新发起安全验证。
为了能够更完整的理解本发明的上述思想,以下将分别以附着过程和TAU过程举例来说明本发明。
如图2所示,为本发明实施例附着过程中UE与网络安全算法不匹配的处理方法的流程图,包括以下步骤:
步骤S201,UE向MME发送附着请求消息,所述附着请求消息中携带有UE的安全能力信息,所述UE的安全能力信息不仅包括UE支持的NAS完整性保护算法和NAS加密算法,还包括UE支持的AS完整性保护算法和AS加密算法。
步骤S202,所述MME判断UE支持的NAS完整性保护算法和NAS加密算法与该MME支持的NAS完整性保护算法和NAS加密算法进行比较。
若此MME与UE支持的NAS完整性保护算法不匹配时,MME向UE返回附着拒绝(attach reject)消息,并在携带的EMM cause IE中指示NAS完整性保护算法不匹配,同样也可新增一个IE携带该不匹配指示。
若此MME与UE支持的NAS加密算法不匹配时,如果网络允许使用非加密的NAS连接,则返回附着接受消息(attach accept),并在附着接受消息的security header type IE(安全头类型)中指示非加密,建立非加密连接,当然也可以新增一个IE专门携带该非加密指示。
若此MME与UE支持的NAS加密算法不匹配,并且网络不允许使用非加密的NAS连接,则返回附着拒绝消息,并在该附着拒绝消息携带的EMM cause IE中指示NAS加密算法不匹配。
步骤S203,如果MME与UE有匹配的NAS算法能力时会启动NAS层的SMC过程,并在初始上下文建立过程中将UE的算法能力信息传给eNB。因此MME还需要将所述UE的安全能力信息中UE支持的AS完整性保护算法和AS加密算法转发给eNB。具体地,MME通过初始上下文建立请求消息将UE支持的AS完整性保护算法和AS加密算法转发给eNB。
步骤S204,eNB接收MME发送的UE支持的AS完整性保护算法和AS加密算法,并判断接收的UE支持的AS完整性保护算法和AS加密算法与该eNB支持的AS完整性保护算法和AS加密算法是否匹配。
步骤S205,如果eNB判断UE支持的AS完整性保护算法与该eNB支持的AS完整性保护算法不匹配,则向MME返回上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示。
如果eNB判断UE支持的AS完整性保护算法与该eNB支持的AS完整性保护算法不匹配,则eNB向MME返回初始上下文建立失败消息,并在消息的cause IE中指示AS层完整性保护算法不匹配。MME触发附着拒绝消息发送给UE,并在EMM cause IE中指示AS层完整性保护算法不匹配。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面加密算法)不匹配时,若网络允许使用非加密的RRC连接,则建立非加密的RRC连接。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面加密算法)不匹配,并且网络不允许使用非加密的RRC连接,则eNB向MME返回初始上下文建立失败消息,并在消息的cause IE中指示AS层安全算法不匹配。MME触发附着拒绝消息发送给UE,并在EMM cause IE中指示AS层安全算法不匹配。
步骤S206,UE根据不匹配指示返回EMM去注册状态(EMM-DEREGISTERED)或UE重新发起安全验证。
如果UE接收到的附着拒绝消息中携带有NAS完整性保护算法不匹配指示或NAS加密算法不匹配指示时,UE启动一个尝试计数器,重新发起附着请求消息,并指示由eNB为UE选择另一个MME。优选地,尝试计数器的取值可以参考协议规范去为5次,当然也可以设为不同的值。如果在尝试计数器内UE成功附着到了一个MME,则按照正常的驻留过程执行后续操作。如果在尝试计数器到达最大值之后UE还没有成功附着到网络,UE删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
如果UE接收到的附着拒绝消息中携带有AS完整性保护算法不匹配指示或AS加密算法不匹配指示时,UE删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
上述实施例示出了UE发起附着过程中UE与网络安全算法不匹配的处理方法,同样本发明也可应用在TAU(Tracking Area Update,跟踪区更新)的场景中。例如,当UE在非周期TAU过程中驻留到一个新的eNB或者注册到了一个新的MME时,作为UE context的一部分,新的MME会从旧的MME中获得UE的安全能力信息并传给新的eNB。如果新的MME与UE支持的NAS加密算法不匹配,则返回TAU拒绝消息,并在cause IE中指示为NAS完整性保护算法不匹配,或者NAS加密算法不匹配。UE收到后启动一个尝试计数器尝试有限次的重发,若达到最大重发次数UE仍然不能驻留到一个MME,UE则删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。如果新的eNB与UE支持的AS安全算法不匹配,则返回初始上下文失败消息给MME,其中携带cause值指示AS层完整性保护算法不匹配或者加密算法不匹配。MME在发送的TAU拒绝消息的cause中指示AS层完整性保护算法不匹配或者加密算法不匹配。UE收到后删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
如图3所示,为本发明一实施例UE与网络安全算法不匹配的处理系统的结构图。该系统包括UE100、eNB200和MME300。
作为本发明的一个实施例,UE100包括消息接收模块110、计数器模块120、发起模块130和状态切换模块140。消息接收模块110用于接收UE100注册的MME300返回的附着拒绝消息或TAU拒绝消息。计数器模块120用于在附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知发起模块130重新发起附着请求和TAU请求,并指示eNB200为所述UE100重新选择其他MME进行NAS安全验证。发起模块130用于发起附着请求和TAU请求。状态切换模块140用于在附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在计数器模块120达到预定阈值后,返回EMM去注册状态。
其中,作为本发明的一个实施例,eNB200包括上下文接收模块210、AS层判断模块220和上下文消息返回模块230。上下文接收模块210用于接收MME300发送的初始上下文建立消息,初始上下文消息中携带有UE的AS完整性保护算法和AS加密算法。AS层判断模块220用于判断UE100的AS完整性保护算法和AS加密算法与所述eNB200支持的AS完整性保护算法和AS加密算法是否一致。上下文消息返回模块230用于当AS层判断模块220判断UE100的AS完整性保护算法或AS加密算法与eNB200支持的AS完整性保护算法或AS加密算法不匹配时,向MME300返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。在上述实施例中,还包括重新选择模块240用于根据UE100的指示为其重新选择新的MME。
其中,作为本发明的一个实施例,MME300包括UE信息接收模块310,NAS层判断模块320和消息返回模块330。UE信息接收模块310用于接收UE100的安全能力信息,UE100的安全能力信息由UE100通过附着请求发送给MME300,或由UE100的源MME发送给MME300,UE100的安全能力信息包括UE100的NAS完整性保护算法和NAS加密算法。NAS层判断模块320用于判断UE100的NAS完整性保护算法和NAS加密算法与MME300支持的NAS完整性保护算法和NAS加密算法是否一致。消息返回模块330用于在NAS层判断模块320判断UE100的NAS完整性保护算法或NAS加密算法与MME300支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。其中在上述实施例中,还包括转发模块340,用于将UE信息接收模块310接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB200。
本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。并且通过本发明提出的技术方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (26)
1.一种用户设备UE与网络安全算法不匹配的处理方法,其特征在于,包括以下步骤:
A1,网络侧接收用户设备UE的安全能力信息;
A2,所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;其中,
如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,使得所述UE根据所述不匹配指示返回移动性管理EMM去注册状态或UE重新发起安全验证。
2.如权利要求1所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为附着过程的安全验证,所述网络侧接收UE的安全能力信息具体为:
所述UE向移动管理实体MME发送附着请求消息,所述附着请求消息中携带有所述UE的安全能力信息。
3.如权利要求2所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为MME,
步骤A2中的给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:
所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
4.如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:
所述附着拒绝消息中的EMM cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;
或在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
5.如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:
所述UE启动尝试计数器,重新发起附着请求,并指示演进基站eNB为所述UE重新选择其他MME进行NAS安全验证。
6.如权利要求5所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
7.如权利要求6所述UE与网络安全算法不匹配的处理方法,其特征在于,所述尝试计数器的预定阈值为5。
8.如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,步骤A2还包括:
在所述MME判断出所述UE支持的NAS加密算法与所述MME支持的NAS加密算法不匹配时,所述MME进一步判断网络是否允许使用非加密的NAS连接;
如果判断为允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,以在所述UE与所述网络侧之间建立非加密连接;和/或
如果判断为不允许使用非加密的NAS连接,则向所述UE返回附着拒绝消息,并在该附着拒绝消息携带的EMM cause IE中指示NAS加密算法不匹配。
9.如权利要求8所述UE与网络安全算法不匹配的处理方法,其特征在于,所述在附着接受消息中携带非加密指示具体为:
在所述附着接受消息中的security header type IE中携带所述非加密指示;
或在所述附着接受消息中增加新的IE携带所述非加密指示。
10.如权利要求2所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为接入层AS安全验证,所述UE的安全能力信息包括UE支持的AS完整性保护算法和AS加密算法,所述验证实体为eNB,所述UE的安全能力信息由所述MME发送给所述eNB,
所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体包括:
所述eNB向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示;
所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
11.如权利要求10所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:
所述UE返回EMM去注册状态。
12.如权利要求10所述UE与网络安全算法不匹配的处理方法,其特征在于,步骤A2还包括:
在所述eNB判断出所述UE支持的AS加密算法与所述eNB支持的AS加密算法不匹配时,进一步判断网络是否允许使用非加密的RRC连接;
如果判断为允许使用非加密的RRC连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,使得在所述UE与所述网络侧之间建立非加密连接;和/或
如果判断为不允许使用非加密的RRC连接,则所述eNB向所述MME返回所述初始上下文建立失败消息,并且在所述初始上下文建立失败消息的cause IE中携带AS层安全算法不匹配指示,以及所述MME触发附着拒绝消息发送给所述UE,并且在所述附着拒绝消息的EMM cause IE中携带AS层安全算法不匹配指示。
13.如权利要求12所述UE与网络安全算法不匹配的处理方法,其特征在于,所述在附着接受消息中携带非加密指示具体为:
在所述附着接受消息中的security header type IE中携带所述非加密指示;
或在所述附着接受消息中增加新的IE携带所述非加密指示。
14.如权利要求1所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为跟踪区更新TAU过程的安全验证,所述网络侧接收UE的安全能力信息具体为:
源移动管理实体MME将所述UE的安全能力信息发送给目标MME。
15.如权利要求14所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为目标MME,
步骤A2中的给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:
所述目标MME向所述UE返回TAU拒绝消息,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
16.如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:
所述TAU拒绝消息中的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;
或在所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
17.如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:
所述UE启动尝试计数器,重新发起TAU请求,并指示源MME为所述UE重新选择其他MME进行NAS安全验证。
18.如权利要求17所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
19.如权利要求18所述UE与网络安全算法不匹配的处理方法,其特征在于,所述尝试计数器的预定阈值为5。
20.如权利要求17所述UE与网络安全算法不匹配的处理方法,其特征在于,步骤A2还包括:
在所述目标MME判断出所述UE支持的NAS加密算法与所述目标MME支持的NAS加密算法不匹配时,进一步判断网络是否允许使用非加密的NAS连接;
如果判断为不允许使用非加密的NAS连接,则向所述UE返回携带有NAS加密算法不匹配指示的所述TAU拒绝消息。
21.如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:
所述UE返回EMM去注册状态。
22.一种用户设备UE,其特征在于,包括消息接收模块、计数器模块、发起模块和状态切换模块,
所述消息接收模块,用于接收所述UE注册的移动管理实体MME返回的附着拒绝消息或跟踪区更新TAU拒绝消息;
所述计数器模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有非接入层NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知所述发起模块重新发起附着请求或TAU请求,并指示为所述UE重新选择其他MME进行NAS安全验证;
所述发起模块,用于发起附着请求或TAU请求;
所述状态切换模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有接入层AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在所述计数器模块达到预定阈值后,返回EMM去注册状态。
23.一种演进基站eNB,其特征在于,包括上下文接收模块、接入层判断模块AS层判断模块和上下文消息返回模块,
所述上下文接收模块,用于接收移动管理实体MME发送的初始上下文建立消息,所述初始上下文建立消息中携带有用户设备UE的接入层AS完整性保护算法和AS加密算法;
所述AS层判断模块,用于判断所述UE的AS完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和AS加密算法是否一致;
所述上下文消息返回模块,用于当所述AS层判断模块判断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性保护算法或AS加密算法不匹配时,向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。
24.如权利要求23所述eNB,其特征在于,还包括重新选择模块,用于根据UE的指示为其重新选择新的MME。
25.一种移动管理实体MME,其特征在于,包括用户设备UE信息接收模块,非接入层判断模块NAS层判断模块和消息返回模块,
所述UE信息接收模块,用于接收UE的安全能力信息,所述UE的安全能力信息由UE通过附着请求发送给所述MME,或由所述UE的源MME发送给所述MME,所述UE的安全能力信息包括所述UE的非接入层NAS完整性保护算法和NAS加密算法;
所述NAS层判断模块,用于判断所述UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完整性保护算法和NAS加密算法是否一致;
所述消息返回模块,用于在所述NAS层判断模块判断所述UE的NAS完整性保护算法或NAS加密算法与所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或跟踪区更新TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
26.如权利要求25所述MME,其特征在于,还包括转发模块,用于将所述UE信息接收模块接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给演进基站eNB。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810222879 CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810222879 CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101686233A CN101686233A (zh) | 2010-03-31 |
| CN101686233B true CN101686233B (zh) | 2013-04-03 |
Family
ID=42049205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810222879 Active CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101686233B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827345B (zh) * | 2010-05-14 | 2015-06-10 | 中兴通讯股份有限公司 | 紧急eps业务的实现方法、系统和终端 |
| CN104219655A (zh) * | 2013-06-04 | 2014-12-17 | 中兴通讯股份有限公司 | 一种无线通信系统中空口安全算法的选择方法及mme |
| CN106412948B (zh) * | 2015-07-31 | 2019-09-20 | 联芯科技有限公司 | 一种涉及nas信令消息的传输方法及其传输终端 |
| CN106817715B (zh) * | 2015-11-27 | 2020-05-12 | 中国联合网络通信集团有限公司 | 控制终端进行失败处理的方法及装置 |
| EP3800914B1 (en) | 2016-01-05 | 2024-05-01 | Huawei Technologies Co., Ltd. | Avoiding a man-in-the-middle attack on an attach request message |
| WO2017133021A1 (zh) | 2016-02-06 | 2017-08-10 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
| US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| US20170013651A1 (en) * | 2016-09-22 | 2017-01-12 | Mediatek Singapore Pte. Ltd. | NAS Security And Handling Of Multiple Initial NAS Messages |
| CN117377012A (zh) * | 2017-03-17 | 2024-01-09 | 日本电气株式会社 | 第一网络装置及其方法和第二网络装置及其方法 |
| CN107948972B (zh) * | 2017-12-27 | 2021-03-09 | Oppo广东移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| CN110912854B (zh) * | 2018-09-15 | 2021-03-23 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN114245372B (zh) * | 2019-01-18 | 2024-03-15 | 华为技术有限公司 | 一种认证方法、装置和系统 |
| CN113424506A (zh) * | 2019-02-15 | 2021-09-21 | 诺基亚技术有限公司 | 通信系统中的用户设备安全能力的管理 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
-
2008
- 2008-09-24 CN CN 200810222879 patent/CN101686233B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
| WO2008095428A1 (fr) * | 2007-02-05 | 2008-08-14 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système de réseau de négociation d'algorithmes de sécurité |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP TSG Services and System Aspects.3GPP TS 33.401 v8.0.0:3GPP System Architecture Evolution (SAE):Security architecture (Release 8).《3GPP TS 33.401 v8.0.0:3GPP System Architecture Evolution (SAE):Security architecture (Release 8)》.2008, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101686233A (zh) | 2010-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101686233B (zh) | Ue与网络安全算法不匹配的处理方法、系统及装置 | |
| US11632670B2 (en) | Method and arrangement in a telecommunication system | |
| US9826378B2 (en) | Methods and devices for facilitating emergency calls over wireless communication systems | |
| US11477726B2 (en) | Apparatus, system and method for dedicated core network | |
| CN107251642B (zh) | 用户装置、基站以及连接建立方法 | |
| CN107454679B (zh) | 处理无线资源控制连结恢复程序的装置及方法 | |
| US8630607B2 (en) | Emergency call handoff between heterogeneous networks | |
| KR101339044B1 (ko) | 서빙 코어 네트워크 노드가 변경될 때의 모바일 장치의 접근성의 처리 | |
| CN113940106A (zh) | 用于处理封闭接入组相关过程的方法和系统 | |
| US20120094667A1 (en) | Mobile communication method, mobile station, and switching center | |
| CN111182539A (zh) | 通信方法与设备 | |
| US9445310B2 (en) | Mobile communication system, network device, and mobile communication method | |
| WO2009132524A1 (zh) | 一种保持用户业务连续性的方法、系统及装置 | |
| WO2011083663A1 (ja) | 移動端末及び移動通信方法 | |
| KR102146494B1 (ko) | 회선 교환 폴백 절차에서의 지연을 최소화하는 방법 및 장치 | |
| WO2009152759A1 (zh) | 防止网络安全失步的方法和装置 | |
| KR102510207B1 (ko) | 사용자 단말에서 #14 원인을 가지는 attach 거절 메시지를 처리하기 위한 방법 | |
| CN101873561A (zh) | 一种紧急业务的实现方法及设备 | |
| CN101902715A (zh) | 紧急业务处理方法、设备及网络系统 | |
| US9560516B2 (en) | Method to use existing NAS signaling connection for pending uplink signaling/data after TAU accept | |
| US9161221B2 (en) | Method, apparatus and computer program for operating a user equipment | |
| CN108124511B (zh) | 一种csfb的回落结果检测方法及装置、存储介质 | |
| US20110300861A1 (en) | Mobility management entity information deleting method and device | |
| CN101505474B (zh) | 用户切换过程中网络侧处理方法、网元设备及网络系统 | |
| CN101645877A (zh) | 密钥衍生函数的协商方法、系统及网络节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INST OF TELECOMMUNICATION SCIENCE AND TECHNOLGOY Free format text: FORMER OWNER: DATANG MOBILE COMMUNICATION EQUIPMENT CO., LTD. Effective date: 20110407 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100083 NO. 29, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING TO: 100191 NO. 40, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20110407 Address after: 100191 Haidian District, Xueyuan Road, No. 40, Applicant after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100083 Haidian District, Xueyuan Road, No. 29, Applicant before: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210602 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |